Azure 기밀 VM 정보
Azure 기밀 VM은 테넌트에게 강력한 보안과 기밀성을 제공합니다. 애플리케이션과 가상화 스택 사이에 하드웨어 적용 경계를 만듭니다. 코드를 수정하지 않고도 클라우드 마이그레이션에 사용할 수 있으며 플랫폼은 VM의 상태를 계속 보호합니다.
Important
보호 수준은 구성 및 기본 설정에 따라 달라집니다. 예를 들어 Microsoft는 추가 비용 없이 편의를 위해 암호화 키를 소유하거나 관리할 수 있습니다.
Microsoft Mechanics
기밀 VM의 이점
- 가상 머신, 하이퍼바이저 및 호스트 관리 코드 간의 강력한 하드웨어 기반 격리
- 배포 전에 호스트의 호환성을 보장하기 위해 사용자 지정 가능한 증명 정책
- 최초 부팅 전 클라우드 기반 기밀 OS 디스크 암호화.
- 플랫폼 또는 고객(선택 사항)이 소유하고 관리하는 VM 암호화 키
- 플랫폼의 성공적인 증명과 VM의 암호화 키 간의 암호화 바인딩으로 안전한 키 릴리스
- 가상 머신의 키와 비밀을 증명 및 보호하기 위한 전용 가상 TPM(Trusted Platform Module) 인스턴스
- Azure VM용 신뢰할 수 있는 시작과 유사한 보안 부팅 기능
기밀 OS 디스크 암호화
Azure 기밀 VM은 향상된 새 디스크 암호화 체계를 제공합니다. 이 구성표는 디스크의 모든 중요 파티션을 보호합니다. 또한 이는 디스크 암호화 키를 가상 머신의 TPM에 바인딩하고, 보호되는 디스크 콘텐츠를 VM에서만 액세스할 수 있도록 합니다. 이러한 암호화 키는 하이퍼바이저 및 호스트 운영 체제를 포함하여 Azure 구성 요소를 안전하게 무시할 수 있습니다. 공격 가능성을 최소화하기 위해 전용 및 별도의 클라우드 서비스는 VM을 처음 만들 때도 디스크를 암호화합니다.
컴퓨팅 플랫폼에 VM 격리에 대한 중요한 설정이 누락된 경우 Azure Attestation은 부팅 중에 플랫폼의 상태를 증명하지 않고 대신 VM을 시작하지 못하게 합니다. 예를 들어 SEV-SNP를 사용하도록 설정하지 않은 경우 이 시나리오가 발생합니다.
이 프로세스는 초기 VM 생성 시간을 연장할 수 있으므로 기밀 OS 디스크 암호화는 선택 사항입니다. 다음 중에서 선택할 수 있습니다.
- PMK(플랫폼 관리형 키) 또는 CMK(고객 관리형 키)를 사용하는 VM 배포 전에 기밀 OS 디스크 암호화가 있는 기밀 VM입니다.
- VM 배포 전에 기밀 OS 디스크 암호화가 없는 기밀 VM입니다.
추가 무결성 및 보안를 위해 기밀 VM은 기밀 OS 디스크 암호화가 선택된 경우 기본적으로 보안 부팅을 제공합니다.
보안 부팅에서는 신뢰할 수 있는 게시자가 OS 부팅 구성 요소(부팅 로더, 커널, 커널 드라이버 포함)에 서명해야 합니다. 호환되는 모든 기밀 VM 이미지는 보안 부팅을 지원합니다.
기밀 임시 디스크 암호화
기밀 디스크 암호화 보호를 임시 디스크로 확장할 수도 있습니다. 디스크가 CVM에 연결된 후 VM 내 대칭 키 암호화 기술을 활용하여 이를 사용하도록 설정합니다.
임시 디스크는 애플리케이션 및 프로세스를 위한 빠른 로컬 및 단기 스토리지를 제공합니다. 페이지 파일, 로그 파일, 캐시된 데이터 및 기타 형식의 임시 데이터와 같은 데이터만 저장하기 위한 것입니다. CVM의 임시 디스크에는 중요한 데이터를 포함할 수 있는 페이지 파일(스왑 파일이라고도 함)이 포함되어 있습니다. 암호화하지 않으면 호스트에서 이러한 디스크의 데이터에 액세스할 수 있습니다. 이 기능을 사용하도록 설정하면 임시 디스크의 데이터가 더 이상 호스트에 노출되지 않습니다.
이 기능은 옵트인 프로세스를 통해 사용하도록 설정할 수 있습니다. 자세히 알아보려면 설명서를 읽어 보세요.
암호화 가격 책정 차이
Azure 기밀 VM은 OS 디스크와, 몇 메가바이트의 암호화된 소형 VMGS(가상 머신 게스트 상태) 디스크를 모두 사용합니다. VMGS 디스크는 VM 구성 요소의 보안 상태를 포함합니다. 일부 구성 요소는 vTPM 및 UEFI 부팅 로더를 포함합니다. 소형 VMGS 디스크에서 월별 스토리지 비용이 발생할 수 있습니다.
2022년 7월부터 암호화된 OS 디스크에 더 많은 비용이 발생합니다. 자세한 정보는 관리 디스크 가격 책정을 참조하세요.
증명 및 TPM
Azure 기밀 VM은 플랫폼의 중요한 구성 요소 및 보안 설정에 대한 증명에 성공한 후에만 부팅됩니다. 증명 보고서에는 다음이 포함됩니다.
- 서명된 증명 보고서
- 플랫폼 부팅 설정
- 플랫폼 펌웨어 측정
- OS 측정
기밀 VM 내에서 증명 요청을 초기화하여 기밀 VM이 AMD SEV-SNP 또는 Intel TDX 지원 프로세서가 있는 하드웨어 인스턴스를 실행하고 있는지 확인할 수 있습니다. 자세한 내용은 Azure 기밀 VM 게스트 증명을 참조하세요.
Azure 기밀 VM은 Azure VM용 vTPM(가상 TPM) 기능입니다. vTPM은 하드웨어 TPM의 가상화된 버전으로, TPM 2.0 사양을 준수합니다. vTPM을 키 및 측정을 위한 전용 보안 자격 증명 모음으로 사용할 수 있습니다. 기밀 VM에는 VM의 범위 밖에 있는 보안 환경에서 실행되는 자체 전용 vTPM 인스턴스가 있습니다.
제한 사항
기밀 VM에는 다음과 같은 제한 사항이 있습니다. 질문과 대답은 기밀 VM에 대한 FAQ를 참조하세요.
크기 지원
기밀 VM은 다음 VM 크기를 지원합니다.
- 로컬 디스크가 없는 범용: DCasv5 시리즈, DCesv5 시리즈
- 로컬 디스크가 있는 범용: DCadsv5 시리즈, DCedsv5 시리즈
- 로컬 디스크 없이 최적화된 메모리: ECasv5 시리즈, ECesv5 시리즈
- 로컬 디스크로 최적화된 메모리: ECadsv5 시리즈, ECedsv5 시리즈
OS 지원
기밀 VM은 다음 OS 옵션을 지원합니다.
| Linux | Windows 클라이언트 | Windows Server |
|---|---|---|
| Ubuntu | Windows 11 | Windows Server Datacenter |
| 20.04 LTS(AMD SEV-SNP 전용) | 22H2 Pro | 2019 Server Core |
| 22.04 LTS | 22H2 Pro ZH-CN | |
| 22H2 Pro N | 2022 Server Core | |
| RHEL | 22H2 Enterprise | 2022 Azure Edition |
| 9.3 (AMD SEV-SNP 전용) | 22H2 Enterprise N | 2022 Azure Edition Core |
| 9.3 미리 보기(Intel TDX 전용) | 22H2 Enterprise 다중 세션 | |
| SUSE(기술 미리 보기) | ||
| 15 SP5 (Intel TDX, AMD SEV-SNP) | ||
| SAP용 15 SP5(Intel TDX, AMD SEV-SNP) |
지역
기밀 VM은 특정 VM 지역에서 사용할 수 있는 특수 하드웨어에서 실행됩니다.
가격 책정
가격 책정은 기밀 VM 크기에 따라 달라집니다. 자세한 내용은 가격 계산기를 참조하세요.
기능 지원
기밀 VM은 다음을 지원하지 않습니다.
- Azure Batch
- Azure Backup
- Azure Site Recovery
- Azure Dedicated Host
- Confidential OS 디스크 암호화가 사용하도록 설정된 Microsoft Azure Virtual Machine Scale Sets
- 제한된 Azure Compute Gallery 지원
- 공유 디스크
- Ultra disks
- 가속화된 네트워킹
- 실시간 마이그레이션
- 부팅 진단 중 스크린샷
다음 단계
자세한 내용은 기밀 VM FAQ를 참조하세요.